Konkrete Informationen zu Snort Alert / Blocks



  • Hallo zusammen

    Ich wollte gerne wissen, wie man so wie bei SGUIL die konkreten Informationen zum versuchten Angriff (Header-Infos) usw. in pfSense sieht:
    http://2.bp.blogspot.com/_Prlv_CKbUdQ/TTOOj-YJ_5I/AAAAAAAAAHw/CfbJNxl3X6Q/s1600/Security_Onion_20110116_Sguil_alert.PNG

    Gruss



  • Hallo zusammen

    Gibt es keine Möglichkeit dies so ausführlich darzustellen, wie es durch die Snort-GUI möglich ist?

    Gruss



  • ich kann mir die infos zu jedem der regeln im suricata angucken.
    einfach im suricata bei einem der eingerichteten interfaces auf rules gehen und dann die sid der gesuchten rule anklicken. (sollte bei snort genauso sein, denk ich)

    oder meinst du was anderes?



  • Danke für die Rückmeldung.
    Ich verwende zur Zeit Snort und nicht Suricata.
    Meine Absicht liegt da dass ich nicht die eingetroffene Regel von Snort genauer sehen möchte, sondern was genau versucht wurde zu hacken.

    Snort gibt mir das Zielsystem + Port, Quellsystem und Port sowie die eingetroffene Regel aus. Was mich aber interessiert ist nicht nur die IP und Port des geschützten Servers, sondern was genau versucht wurde. Beispielsweise bei einer Meldung bezüglich XSS (Cross Site Scripting) bringt es mir wenig nur zu wissen welcher meiner Server betroffen war, sondern welche Website auf dem Server (URL, Query, Dateiname, Header usw.)

    Wie kann ich das sehen?

    Gruss



  • hallo zusammen

    So wie ich rausgefunden habe kann man mit Barnyard2 die Alarm-Meldungen von Snort beispielsweise in einer MySQL-Datenbank speichern.
    Sodann sollte man mit einer Software diese Meldungen genau auswerten können, jedoch finde ich keine Software hierfür geeignet mit Windows oder als webbasierende Lösung in PHP.

    Es geht ja nicht um die Snort- oder Suricata Regel, sondern um die Analyse des eingetretenen Alarms infolge eines Angriffs.

    Kennt ihr da etwas?



  • Ich habe Barnyard2 so eingerichtet dass er auf dem externen MySQL-Server die Logs schreibt.
    Nun aber aus unersichtlichen Gründen bricht Barnyard immer wieder ab. Ich vermute, sobald ein Alert in Snort ausgelöst wurde.

    Hat jemand damit Erfahrungen? Verwende ich vlt. veraltete MySQL-Tables für Barnyard?


Log in to reply